re:Invent 2025 のセッション (COP365) をベースに AWS Control Tower 関連の新機能を紹介します！

Transcript

1. re:Invent 0 5 のセッション (COP365) を ベースに AWS Control Tower

   関連の 新機能を紹介します！ 2025/12/9 AWS re:Invent 0 5 ふりかえり勉強会 re:Growth 0 5 東京

2. ⽬次 2 • セッションID：COP365 ってどういうセッション？ • AWS Organizations のアカウント直接転送機能 •

   AWS Control Tower Landing Zone 4.0 • 気になっていたことをスピーカーに聞いてみた！ • まとめ

3. セッションID：COP365 ってどういうセッション？

4. セッションID：COP365 ってどういうセッション？ 4 • セッションタイトル ◦ [NEW LAUNCH] New capabilities

   for achieving effective governance at scale ◦ ⽇本語訳：⼤規模に効果的なガバナンスを実現するための新しい機能 • セッション概要 ◦ ⽇本語訳：組織は、急速なクラウド導⼊や複雑な移⾏の過程で、効果的なガバナ ンスをスケールさせることに苦労することがよくあります。このセッションで は、マルチアカウント環境を安全に管理し、ガバナンスとコンプライアンスを維 持しながら運⽤をスケールさせるための新しいガバナンス機能とコントロールを 紹介します。アカウントの移管⽅法、コントロールの迅速な確⽴と管理、ポリ シーの適⽤、コンプライアンス基準を満たし組織のベストプラクティスを実施す るための潜在的な標準⽅法について学びます。

5. セッションID：COP365 ってどういうセッション？ 5 • セッションの中で紹介された新機能（2025年11⽉発表） ◦ AWS Organizations のアカウント直接転送機能（11/19 発表）

   ◦ AWS Control Tower Landing Zone 4.0（11/17 発表） これらの新機能、既にキャッチアップ済みだったけど、 NEW LAUNCH 扱いなのかぁ… 11⽉の怒涛のアップデートラッシュが来た時点で re:Invent は始まってたのか…

6. 改めて各新機能をご紹介します！

7. AWS Organizations のアカウント直接転送機能

8. AWS Organizations のアカウント直接転送機能 8 従来の課題 • アカウント転送には多くのステップが必要だった • ⼀度スタンドアロンアカウントにしたり、⽀払い情報の再設定、本⼈確認、 サポートプランの再契約など

   新機能を使えば • 2 つのステップで完了！ 1. 転送先の組織から転送するアカウントへ招待を送信 2. 転送するアカウントが招待を承認

9. AWS Organizations のアカウント直接転送機能 9

10. AWS Organizations のアカウント直接転送機能 10 主なメリット • アカウントの移動プロセスが簡素化され、運⽤負荷が軽減される • スタンドアロン状態を経由しないため、統合請求とガバナンス機能が途切れない •

    ⽀払い情報の再設定が不要になり、設定ミスのリスクが低減される 注意点 • 承認期間：14⽇以内に承認が必要 • 委任管理者：委任管理者として登録されているメンバーアカウントは、事前に登録解 除が必要 • 転送後、転送されたアカウントは Organizations の Root 直下に配置される ◦ 転送先の管理アカウントで OU 移動の対応は必要

11. AWS Organizations のアカウント直接転送機能 11 • アカウント直接転送機能を試してみたブログもありますので、 気になる⽅はぜひご覧ください！

12. AWS Control Tower Landing Zone 4.0

13. AWS Control Tower Landing Zone 4.0 13 Landing Zone 4.0

    は 必要な機能だけ選んで構築できる、柔軟なランディングゾーンになりました！ • Controls Dedicated Experience（コントロールのみの導⼊が可能） • Config、CloudTrail のサービス統合を 個別に有効/無効 を選択可能 • Config、CloudTrail が専⽤ S3 バケットと専⽤ SNS トピックを使⽤する仕様へ変更 • 柔軟な組織構造 ◦ コントロールのみ導⼊の場合：組織構造は完全に⾃由 ◦ サービス統合を有効化した場合：統合アカウントは Root 直下の同⼀ OU 配下に 配置が必要 ▪ 統合アカウント：従来 Audit / LogArchive アカウントと呼んでいたもの

14. AWS Control Tower Landing Zone 4.0 14

15. AWS Control Tower Landing Zone 4.0 15 誰のためのアップデート？ • 主なターゲットは、これから

    Control Tower を導⼊する利⽤者（組織） ◦ 既に運⽤が確⽴されたマルチアカウント環境を持っている ◦ 既存の組織構造を変更したくない ◦ Control Tower のマネージドコントロールのみを利⽤したい ⇒ 前述の従来の課題となっていた「フルセット」での導⼊が不要になり、   既存環境への影響が⼤きいという理由で導⼊を躊躇っていた利⽤者にとっては、   かなり嬉しいアップデート

16. AWS Control Tower Landing Zone 4.0 16 • Landing Zone

    4.0 についてまとめたブログ（登壇資料）もありますので、 気になる⽅はぜひご覧ください！

17. セッションを聴きながらふと思った 17 既にキャッチアップ済みの知ってる内容だなぁ… 触っていて質問したいことは⾊々あるんだけどなぁ… Chalk talk だけど英語は喋れないからセッション中は聞け ないし… …はっ！セッション終わりにスピーカーの⼈を捕まえて 質問すればいいんだ！！！

18. セッションを聴きながらふと思った 18 急にスマホへ質問を打ちまくって Google 翻訳で英訳しまくる私

19. 気になっていたことをスピーカーに聞いてみた！

20. 気になっていたことをスピーカーに聞いてみた！① 20 Q： アカウント直接転送機能を試したら Root 直下に配置された。ガバナンスを効かせ続け るという観点では、OU を指定して転送できた⽅がいいと思った。OU を指定する⽅法は あるか？

    A： OU を直接指定する⽅法は現時点では無い、アカウント転送後に⼿動で OU に移動する 必要がある。

21. 気になっていたことをスピーカーに聞いてみた！② 21 Q： 攻撃者が管理する組織 A があり、攻撃者が組織 B のメンバーアカウントを招待して、 うっかりメンバーアカウントが承認してしまった場合、すぐに組織 A

    に転送されるので 乗っ取られてしまう認識で合っているか？ A： 認識は合っている。ただし、組織 B のメンバーアカウントに招待を承認する権限がなけ ればそもそも招待を受け⼊れられない。正しい権限管理をすることが第⼀の防衛ライン となる。また、組織離脱を防⽌する SCP を設定することも有効。

22. 気になっていたことをスピーカーに聞いてみた！③ 22 Q： ランディングゾーン 3.3 から 4.0 へのアップグレードは必須ですか？ A： 必須ではないが、常にアップグレードすることが推奨される。4.0

    は新規利⽤者向けの アップデートが多いため、3.3 を使っている場合はそのままでも⼤きな問題は無い。 4.0 の新機能‧変更点を使⽤しない場合、急いでアップグレードする必要はないが、ベ ストプラクティスとしては新バージョンがリリースされたら、マイナー‧メジャー問わ ずアップグレードすることが推奨される。

23. 気になっていたことをスピーカーに聞いてみた！④ 23 Q： 古いランディングゾーンを使い続けても問題ないですか？ A： 従来のバージョンも引き続きサポートする。現状サポート終了の予定は無い。 もしサポートを終了することになった場合は、少なくとも 1 年前に通知する。

24. まとめ 24 • AWS Organizations のアカウント直接転送機能 ◦ 多くのステップ → 2

    ステップで完了へ！ ◦ アカウントの移動プロセスが簡素化され、運⽤負荷軽減が期待できる • AWS Control Tower Landing Zone 4.0 ◦ Controls Dedicated Experience の登場により、既存のマルチアカウント環境 を維持したままコントロールの導⼊が可能に • LZ 3.3 を利⽤している⽅は、リリースノートなどで変更点を確認しながら 4.0 へのアップグレードを検討し始めましょう！

25. ありがとうございました！

26. None